{"id":23756,"date":"2019-01-28T19:31:21","date_gmt":"2019-01-28T17:31:21","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=23756"},"modified":"2019-01-28T19:31:21","modified_gmt":"2019-01-28T17:31:21","slug":"razy-trojan-cryptocurrency-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/razy-trojan-cryptocurrency-stealer\/23756\/","title":{"rendered":"Crazy Razy, de bitcoin-dief"},"content":{"rendered":"

Mocht je een andere browser gebruiken die niet standaard in het besturingssysteem zit, dan heb je waarschijnlijk gehoord over de extensies en misschien heb je er ook een aantal gebruikt. En als je deze blog geregeld leest, dan zul je je ervan bewust zijn dat sommige gevaarlijk zijn<\/a> en alleen vanaf offici\u00eble bronnen ge\u00efnstalleerd mogen worden. Het probleem is dat kwaadaardige add-ons ge\u00efnstalleerd kunnen worden zonder dat de gebruiker het in de gaten heeft \u2013 of welke handeling dan ook (of bijna alle).<\/p>\n

\"DeHoe Razy kwaadaardige extensies installeert<\/h2>\n

De hoofdverdachte is de Razy Trojaan, die Google Chrome, Mozilla Firefox en de Yandex Browser (alle voor Windows) moderniseert met zijn eigen plug-ins. Meer details hierover zijn te vinden op Securelist.com<\/a>, maar de malware schakelt het scannen van extensies die worden ge\u00efnstalleerd uit, blokkeert de browserupdates, voor de zekerheid, en begint dan kwaadaardige add-ons te installeren: Firefox krijgt de Firefox Bescherming extensie; de Yandex Browser krijgt Yandex Protect.<\/p>\n

Zelfs met misleidende namen, zou met de spontante verschijning ervan een alarmbel af moeten gaan. In dit geval is in het bijzonder het script voor Google Chrome nogal gevaarlijk: Razy kan de Chrome Media Router systeemextensie infecteren, die niet in de algemene lijst verschijnt van browser plug-ins, en zonder veiligheidssoftware is het slechts indirect waarneembaar.<\/p>\n

Wat gebeurt er na infectie<\/h3>\n

De hele situatie is een klassiek voorbeeld van een man-in-de-browser<\/a> aanval. De kwaadaardige extensies veranderen website-content naar wens. In het geval van Razy hebben de eigenaren van cryptovaluta het meeste te vrezen. Het doelwit van de extensies zijn geldwissel-sites, waarop banners worden geplaatst met lucratieve deals voor de aankoop van cryptovaluta \u2013 maar gebruikers die erin trappen maken alleen de cybercriminelen rijker, en niet zichzelf.<\/p>\n

\"DeDaarbovenop komt dat de add-ons de zoekopdrachten in Google of Yandex monitort, en als een zoekopdracht gaat over cryptovaluta, dan worden er links naar phishing-websites ingebed in de zoekresultaten.<\/p>\n

\"De

Razy resultaten: De top vijf links in de zoekresultaten die toegevoegd zijn door de kwaadaardige extensie en die leiden naar phishing-websites<\/p><\/div>\n

\u00a0<\/p>\n

Een andere manier om munten te herverdelen is door alle wallet-adressen (of QR-codes) te vervangen op een website met de wallet-adressen van cybercriminelen.<\/p>\n

Gebruikers van ge\u00efnfecteerde browsers worden ook vervolgd door banners (bijvoorbeeld op Vkontakte of YouTube) met royale aanbiedingen, zoals: \u2018Investeer nu een beetje, verdien een miljoen later,\u2019 \u2018Krijg betaald voor een online enqu\u00eate,\u2019 etc. De kers op de taart is de nepbanner op Wikipedia-sites waar gebruikers worden verleid om het project te steunen.<\/p>\n

\"DeHoe te beschermen tegen Razy<\/h3>\n

De Razy Trojaan wordt verspreid onder het mom van nuttige software door middel van geaffilieerde programma\u2019s<\/a>, en het kan gedownload worden vanaf verschillende free-hosting services, dus het advies voor bescherming tegen infectie is nogal standaard:<\/p>\n